Informatiebeveiliging

Op artsen rust de plicht om vertrouwelijk om te gaan met persoonsgegevens van hun patiënten. Dit betekent dat wanneer die gegevens elektronisch worden opgeslagen deze voldoende beveiligd moeten worden tegen verlies, onrechtmatige toegang en ander onrechtmatig gebruik ervan.

De arts, of de zorginstelling waar de arts werkzaam is, dient hiervoor noodzakelijke technische en organisatorische maatregelen te nemen. Een aantal NEN normen (7510:2011 en 7513) geven daartoe concrete handvatten.

Datalekken

Als desondanks toch gegevens over patiënten verloren zijn gegaan of door onbevoegden zijn ingezien, kan sprake zijn van een “datalek”. In 2016 is voor eerstelijns zorgverleners en zorgorganisaties de Handreiking meldplicht datalekken gepubliceerd.

Ook voor tweedelijns zorginstellingen, in het bijzonder voor ziekenhuizen, is informatie inclusief voorbeelddocumenten, over de meldplicht datalekken beschikbaar.

Algemene informatie over de meldplicht datalekken is beschikbaar op de website van de Autoriteit Persoonsgegevens.

KNMG nieuws

KNMG columns

KNMG standpunten | richtlijnen | informatie

Praktijkdilemma's KNMG Artseninfolijn

  • Mag een arts patiëntgegevens uitwisselen via WhatsApp?

    Casus

    • Voor een hartpatiënt die dringend hulp nodig heeft, zou ik via WhatsApp een thoraxfoto kunnen doorsturen om per ommegaande een second opinion van mijn collega te ontvangen. Ik win daar veel tijd mee en dat is in het belang van deze patiënt, maar mag ik dat wel doen?
    • Ik wil een direct advies van een collega over een patiënt met kniebreuk. Mag ik via WhatsApp een foto van de knie en enkele aanvullende gegevens uit het medische dossier van deze patiënt meesturen? 

    Advies 

    Voorkom het versturen van patiëntgegevens via WhatsApp die tot de persoon van een patiënt herleidbaar zijn. Dit geldt niet alleen voor gegevens uit een dossier, maar ook voor een foto waarop de patiënt herkenbaar is. Dat betekent dat een arts wel een foto van bijvoorbeeld een wond van een niet herkenbare patiënt naar een collega-arts mag sturen via WhatsApp. Als de patiënt niet herkenbaar is op de foto en de foto ook anderszins niet tot een bepaalde patiënt herleidbaar is, is er geen sprake van een persoonsgegeven en ook geen doorbreking van het beroepsgeheim.

    Als de foto wel tot een bepaalde patiënt is te herleiden, eventueel door middel van aanvullende gegevens, dan raden wij het gebruik van WhatsApp af. De communicatie en/of de informatie die wordt verstuurd moet bij voorkeur versleuteld zijn. Dat is bij WhatsApp niet gegarandeerd. In elk geval doen zender en ontvanger er verstandig aan om de foto zo spoedig mogelijk te verwijderen van het mobiele apparaat (smartphone of tablet). Op die manier wordt voorkomen dat de foto’s tussen de vakantiefoto’s van het gezin komen te staan.

    Foto echt anoniem?

    Foto’s en andere patiëntgegevens vallen onder het medisch beroepsgeheim. Ook bij het gebruik van WhatsApp moeten artsen zich realiseren dat zij de verantwoordelijkheid dragen voor de vertrouwelijkheid van patiëntengegevens. Alleen als de informatie voor de ontvanger niet herleidbaar is tot een identificeerbare patiënt, is de privacy niet in het geding. Maar zorgvuldig handelen blijft hierin noodzakelijk. Zo blijkt een foto niet altijd zo anoniem als deze lijkt.

    Het is niet verboden om collega-artsen via WhatsApp te consulteren voor bijvoorbeeld een diagnose door een foto van een wond te sturen. Een foto kan echter anoniem lijken, maar bijvoorbeeld op basis van context of opgeslagen metadata kan een persoon alsnog te identificeren zijn. Bijvoorbeeld wanneer een foto van een ernstig letsel brede media aandacht heeft gekregen kan deze alsnog verwijzen naar de desbetreffende patiënt. Hiernaast kunnen metadata van foto’s gegevens bevatten over de locatie waar en het tijdstip waarop de foto is gemaakt, tot het IP-adres van bijvoorbeeld de zorginstelling aan toe.

    Weliswaar lijkt het juridisch toegestaan als die wordt gestuurd naar een collega-vakgenoot die door de arts wordt geraadpleegd met het oog op de behandeling van de patiënt. Die collega-vakgenoot kan dan worden beschouwd als een persoon die rechtstreeks betrokken is bij de uitvoering van de behandelingsovereenkomst. Daarvoor is geen toestemming van de patiënt nodig. Maar toch raden wij het af omdat de vertrouwelijkheid van de gegevensuitwisseling niet gegarandeerd is.

    Beveiligingsaspecten

    Artsen dienen bij gegevensuitwisseling altijd stil te staan bij de veiligheid van het medium dat zij gebruiken. Bij WhatsApp valt die veiligheid niet te garanderen. Foto's die via WhatsApp worden ontvangen worden vaak automatisch op de smartphone en/of in de ‘cloud’ opgeslagen. Hierbij bestaat een risico op vermenging met privé fotoverzamelingen. Daarnaast bestaat het risico dat de foto per ongeluk naar een verkeerde contactpersoon uit de WhatsApp-contactenlijst wordt gestuurd.

    Als u twijfelt over de herleidbaarheid van patiëntgegevens, kies dan de veilige weg en gebruik andere communicatiemiddelen, zoals beveiligde Messenger Apps of beveiligde e-mail. In oktober 2015 startte in Den Haag een pilot met de beveiligde Kanta Messenger App [1]. Daarnaast zijn verschillende beveiligde e-mail systemen beschikbaar zoals ZorgMail van Enovation, Secure Mail van KPN, Medi-Send en Voltage SecureMail van Software Connection en Voltage Security.

    Taak zorginstelling

    Consultatie van collega’s via WhatsApp kan voordelen opleveren. Zo kan het de kwaliteit van zorg ten goede komen. Tegelijkertijd is vaak onduidelijk waar de inhoud van WhatsApp berichten wordt opgeslagen en of de vertrouwelijkheid van de informatie wel is gewaarborgd. Veilig elektronisch communiceren is niet alleen een zaak voor artsen. Zorginstellingen en zorgpraktijken hebben een verplichting om hun medewerkers te wijzen op het belang van veilig uitwisselen van patiëntinformatie. Zij dragen bovendien verantwoordelijkheid voor een goede informatiebeveiliging binnen de eigen organisatie in het algemeen.

    [1] Heleen Croonen, Pilot voor veilig appen in Den Haag. Medisch Contact, 2 oktober 2015

  • Uitwisseling medische gegevens per e-mail?

    Er bestaat geen wettelijke bepaling die het gebruik van e-mail bij het uitwisselen van medische gegevens reguleert. Daarom moet aansluiting worden gezocht bij meer algemeen geformuleerde regels over de omgang met medische gegevens.

    Deze regels zijn onder andere neergelegd in de Wet op de geneeskundige behandelingsovereenkomst (WGBO) en in de Wet bescherming persoonsgegevens (WBP) en komen er op neer dat de hulpverlener op een verantwoorde wijze met de medische gegevens van zijn patiënten moet omgaan. Deze regels gelden ook in het geval dat de medische gegevens per e-mail verzonden worden.

    Aan wie gegevens verstrekken?

    Voordat de gegevens per e-mail naar een ander worden verzonden moet duidelijk zijn dat de ontvanger de te verzenden gegevens wel mag ontvangen. Het beroepsgeheim van de arts verhindert in beginsel namelijk dat de arts medische gegevens aan derden verstrekt. Hij mag alleen gegevens verstrekken aan degene die rechtstreeks bij de behandeling van de patiënt betrokken zijn. Dit zijn bijvoorbeeld verpleegkundigen en/of artsen die bij een behandeling betrokken worden. Ook mogen gegevens worden verstrekt als de patiënt daarvoor toestemming heeft gegeven. In sommige gevallen kan deze toestemming worden verondersteld. Denk daarbij aan het verstrekken van gegevens van een specialist aan de huisarts. Voor meer informatie over het uitwisselen van medische gegevens zie de 'KNMG Richtlijnen inzake het omgaan met medische gegevens'.

    Gegevens verstrekken via e-mail

    Is vastgesteld dát gegevens mogen worden verstrekt, dan blijft de vraag over of dat via e-mail kan. Het communiceren via e-mail is niet zonder risico. Je kunt vooralsnog niet met zekerheid vaststellen wie de ontvanger van de gegevens is. Het risico bestaat dat de gegevens bij iemand anders terechtkomen, hetgeen doorgaans een ongeoorloofde doorbreking van het beroepsgeheim betekent. Met de invoering van de UZI-pas (Unieke Zorgverleners Identificatie-pas / zie ook www.nictiz.nl) wordt het mogelijk om artsen op het internet te identificeren. Tot die tijd blijft het een inschatting van risico’s. Meestal is al eerder met de andere arts via e-mail gecorrespondeerd en kun je ervan uitgaan dat de informatie op de juiste plek terecht komt. Het verdient de voorkeur om gegevens versleuteld te versturen. Hiermee wordt voorkomen dat onbevoegde ontvangers van de informatie deze kunnen lezen.

    Ook is het van belang om de computer en het communicatieprogramma (het e-mail programma) voldoende te beveiligen. In de Richtlijn voor online arts-patiënt contact is een aantal praktische eisen opgesteld waaraan voldaan moet worden bij online arts-patiënt contact. Van belang zijn de volgende punten:

    • Voor de online communicatie gebruikt de arts een computer die is uitgerust met een up-to-date virusscanner, firewall en recente patches voor de software waarmee gewerkt wordt.
    • Bij online uitwisseling van gegevens dienen maatregelen getroffen te worden die de privacy van de patiënt waarborgen. Hierbij dienen gegevens minimaal versleuteld verstuurd te worden. Bij voorkeur wordt gebruik gemaakt van in de markt beschikbare ‘secure e-mail’
    • Oplossingen en/of wordt over een ‘secure’ verbinding (encrypted server) gecommuniceerd. Andere oplossingen zijn het uitwisselen van sleutelmateriaal.
    • Bij voorkeur worden e-mails van patiënten niet in het e-mailprogramma bewaard, om te voorkomen dat
      computervirussen vat krijgen op de vertrouwelijke gegevens. Van deze e-mails wordt een geprinte, papieren versie in het dossier opgenomen of deze worden in het elektronisch medische dossier (EMD) opgeslagen.
    • De toegang tot de computer van de arts moet beveiligd zijn, bijvoorbeeld door middel van wachtwoorden. Daarnaast kan de computer van de arts zijn voorzien van een screensaver die beveiligd is met een wachtwoord (zodat de toegang tot de gegevens op de computer ook beperkt is op het moment dat de arts is ingelogd maar niet op zijn (werk)plek aanwezig is).

    Het Comité Permanent Européens heeft reeds een aantal richtlijnen gepubliceerd op het gebied van e-mail gebruik, telemedicine en het aanbieden van medische informatie op het internet. Deze richtlijnen kunt u vinden op www.cpme.eu

    Het Nationaal ICT Instituut in de Zorg (NICTIZ) heeft in januari 2015 een verkenning gemaakt over veilig emailverkeer. Hierin worden risico’s en oplossingen benoemd. Verschillende betrokken partijen in de zorg zijn verenigd in NICTIZ: aanbieders van zorg (artsen, ziekenhuizen, e.d.), afnemers (patiëntenverenigingen), zorgverzekeraars en de overheid. Op www.nictiz.nl kunt u meer informatie vinden over de producten van NICTIZ.

Delen via

Terug naar boven Stel uw vraag!
Uw browser wordt niet ondersteund. Sommige functies van deze site werken mogelijk niet correct. Wij adviseren u een andere browser te gebruiken.